Red Hat Training

A Red Hat training course is available for Red Hat Satellite

第 6 章 OpenSCAP

SCAP 是用于企业级 Linux 基础设施的标准化合规检查解决方案。它是一系列由美国国家标准和技术研究院(NIST)维护,用来保证企业级系统安全的规则。
在 RHN Satellite Server 5.5 中,SCAP 由程序 OpenSCAP 实施。OpenSCAP 是一个审核工具,使用可扩展配置清单它格式描述格式(XCCDF)。XCCDF 是描述清单内容和定义安全清单的标准方法。它还可与其他规格合用,比如 CPE、CCE 和 OVAL,创建用 SCAP 表示的清单,并可由 SCAP 认证的产品处理。

6.1. OpenSCAP 功能

OpenSCAP 根据 红帽安全响应团队(SRT)提供的内容验证出现的补丁,检查系统安全配置设定并根据标准/规格中的的规则检查系统危险迹象。昂
要有效使用 OpenSCAP 有两个要求:
  • 确认系统的工具是标准工具
    RHN Satellite Server 有整合的 OpenSCAP 作为版本 5.5 的审核功能。您可用它通过网页界面调度并查看系统合规扫描。
  • SCAP 内容
    如果您了解 XCCDF 或者 OVAL,则可从头开始创建 SCAP 内容。另外还有其他选项。XCCDF 内容会经常以开源许可证方式在网上发布,同时您可以自定义这个内容以满足您的需要。

    注意

    红帽支持使用这个模板评估您的系统。但不支持使用这些模板编写的自定义内容。
    这些组的一些示例如下:
    • RHEL5 桌面的美国政府配置基准(USGCB) — NIST 与红帽公司及美国国防部(DoD)合作使用 OVAL 开发出政府部门使用桌面的官方 SCAP 内容。
    • 社区提供的内容
      • RHEL6 SCAP 安全指南 — 使用根据 USGCB 要求和广泛接受的策略激活社区使用内容,并包含桌面、服务器以及 ftp 服务器侧写。
      • RHEL6 的 OpenSCAP 内容 — 红帽企业版 Linux 6 自选频道中的 openscap-content 软件包还使用模板为红帽企业版 Linux 6 提供默认内容向导。
因为 SCAP 是用来维护系统安全,用来不断修改满足社区和企业业务需要的标准。新的规格是由 NIST 的 SCAP 发行周期管理,以便提供修订流程的统一性和可重复性。